Nueva campaña de phishing basada en redirecciones Oauth

• Publicado: 09/03/2026
• Importancia: Media

---

Recursos afectados

Al acceder al enlace distribuido en la campaña, se inicia un flujo de autorización aparentemente legítimo y durante este proceso se manipulan parámetros del protocolo, entre ellos scope, configurado deliberadamente con valores inválidos para provocar un error durante la validación del consentimiento por parte del proveedor de identidad, lo que activa el mecanismo de redirección previsto en el flujo de autorización de OAuth. Esta condición, combinada con la manipulación de otros parámetros del flujo, favorece la generación de errores en escenarios donde el usuario no posee una sesión activa o cuando la sesión no puede recuperarse desde el navegador.

Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].

Etiquetas

• OAuth
• proxy
• HTML smuggling
• Evilproxy
• .LNK
• payload
• DLL sideloading
• scripts
• PowerShell
• phishing